1

Волеводз А.Г. Компьютерная информация как объект криминалистического следоведения / А.Г.Волеводз // Криминали-стическая техника: Учебник / Отв. ред. И.М. Балашов, рук. колл. С.В. Маликов. - М.: Юрлитинформ, 2008. - С.336-381. Волеводз А.Г.

Глава 15. Компьютерная информация

как объект криминалистического следоведения

Уголовный кодекс Российской Федерации, вступивший в действие с 1 января 1997 г., установил нормы, объявляющие общественно-опасными деяниями конкретные дейст-вия в сфере компьютерной информации (гл.28 УК) и устанавливающие ответственность за их совершение. Такие нормы появились в российском законодательстве впервые.

К уголовно наказуемым отнесены: неправомерный доступ к компьютерной инфор-мации (ст.272); создание, использование и распространение вредоносных программ для ЭВМ (ст.273) и нарушение правил эксплуатации ЭВМ, системы ЭВМ или их сети (ст.274).

Реализация уголовно – правовых предписаний материального закона осуществля-ется в процессе досудебных и судебных стадий уголовного судопроизводства.

УПК РФ компьютерная информация не выделена в самостоятельную категорию (вид) доказательств. В связи с этим, при расследовании уголовных дел о преступлениях в сфере компьютерной информации особое значение приобретают следы их совершения, которые после соответствующего процессуального закрепления могут приобретать значе-ние доказательств. Здесь крайне важно обеспечить процессуальный порядок обнаружения, закрепления, изъятия, сохранения и исследования компьютерной информации, использо-вать ее в доказывании по уголовному делу.

Рассматриваемым преступлениям присущи следующие характерные особенности: 1) неоднородность объекта посягательства; 2) выступление компьютерной (машинной) информации как в качестве объекта, так

и в качестве средства преступления; 3) многообразие предметов и средств преступного посягательства; 4) использование компьютера либо в качестве предмета, либо в качестве средства

совершения преступления. Соответственно такие же особенности характеризуют и их следы, в которых ото-

бражаются те или иные элементы таких преступлений. Кроме того, отдельные особенно-сти характерны для следов преступлений в сфере компьютерной информации, носителями которых являются компьютерные системы и сети, в том числе глобальные.

§ 1. Общие сведения о следах преступлений в сфере компьютерной информации

Основным признаком принадлежности следов к преступлениям в сфере компью-терной информации и определения носителей таких следов выступает их образование в результате использования средств компьютерной техники.

2

Средства компьютерной техники

Средства компьютерной техники по своему функциональному назначению подраз-деляются:

1) аппаратные средства (Hard Ware); 2) программные средства (Soft Ware). Аппаратные средства компьютерной техники представляют собой технические

средства, используемые для обработки данных: механическое, электрическое и электрон-ное оборудование, используемое в целях обработки информации. К ним относятся:

1) Компьютер (электронно-вычислительная машина, ЭВМ). 2) Периферийное оборудование. 3) Физические носители магнитной информации. Компьютер (электронно-вычислительная машина, ЭВМ) - комплекс технических

средств, предназначенных для автоматической обработки информации в процессе реше-ния вычислительных и информационных задач. Компьютеры могут классифицироваться как:

1) Супер – ЭВМ - уникальные по цели создания, быстродействию, объему памяти ЭВМ и вычислительные системы, предназначенные для решения особо сложных задач;

2) Большие ЭВМ - стационарные вычислительные комплексы с большим количест-вом разнообразных периферийных устройств, которыми оснащаются вычислительные центры.

3) Мини - ЭВМ, микро - ЭВМ, персональные ЭВМ – предназначенные для индиви-дуального использования ЭВМ, как правило, настольной или переносной комплектации, комплексно состоящие из системного блока с устройством внешней памяти и накопите-лем на гибком носителе информации, дисплея (монитора), устройства ввода информации (клавиатуры), обеспечивающего ввод данных и задание команд для обработки информа-ции.

Для решения криминалистических задач следует различать ЭВМ: (1) по размеру: а) стационарные большие ЭВМ, т.е. стационарно установленные в

конкретном помещении и имеющие возможность работать только в данном помещении; б) “настольные” малогабаритные ПЭВМ, т.е. персональные ЭВМ, для установки которых требуется лишь стол и которые могут быть легко перемещены из помещения в помещение в зависимости от потребности пользователя; в) портативные ПЭВМ (наколенный ПК – laptop, блокнотный ПК –notebook, карманный ПК.), т.е. переносные ЭВМ, размером от портфеля до блокнота, обеспечивающие за счет компактных батарейных источников пи-тания возможность работы с ними в любом месте; г) малогабаритные ЭВМ, включенные в механические и/или технологические системы (управляющие полетами, движением, про-изводственным процессом и т.п.);

(2) По наличию или отсутствию у них: а) периферийных устройств; б) средств свя-зи или включения в сеть ЭВМ;

(3) По местонахождению и основной решаемой в сетях задачи: а) компьютер ко-нечного пользователя; б) компьютер администратора сети или системного оператора; в) компьютер, работающий как “хранилище” базы данных; г) компьютер, управляющий в

3

автономном режиме технологическим процессом; д) компьютер, работающий как почто-вый “сервер”.

В практике расследования компьютерных преступлений наиболее часто приходит-ся иметь дело с персональными компьютерами (ПК, ПЭВМ). При этом он может быть:

- автономно работающим персональным компьютером, т.е. не входящим в какую-либо компьютерную сеть и не иметь систем телекоммуникационных связей, т.е. уст-ройств, позволяющих использовать радио-, телефонные и спутниковые системы связи. Это универсальная однопользовательская машина;

- элементом системы ЭВМ - комплекса, в котором хотя бы одна ЭВМ является элементом системы либо несколько ЭВМ составляют систему;

- входить в локальную вычислительную сеть, связывающую ряд ЭВМ, находящих-ся в одной локальной зоне. Такая зона может быть ограничена одним или несколькими рядом расположенными зданиями или одной организацией. В этом случае информация передается в виде непрерывного сигнала по кабелям, длина которых может достигать не-скольких километров;

- входить в сеть ЭВМ, которая представляет собой неограниченное множество про-граммно совместимых компьютеров, объединенных между собой линиями электросвязи. В “глобальных сетях” вопрос о совместимости различных компьютеров решается с помо-щью создания специальных ретрансляционных устройств таким образом, чтобы пользова-тели различного программного обеспечения не имели неудобств при взаимодействии.

Периферийное оборудование - оборудование, имеющее подчиненный по отноше-нию к компьютеру статус, обеспечивающее передачу данных и команд между процессо-ром и пользователем относительно определенного центрального процессора, комплекс внешних устройств ЭВМ, не находящихся под непосредственным управлением централь-ного процессора. Наиболее распространенными видами такого оборудования являются:

- Принтер (печатающее устройство), служит для вывода информации, содержащей-ся в памяти компьютера, и ее воспроизведения на физическом носителе (бумаге, пленке и т.п.) в форме доступной для восприятия человеком.

- Манипулятор является дополнительным устройством для ввода информации. Со-вместно с клавиатурой он повышает удобство работы пользователя с рядом диалоговых программ, где необходимо быстро перемещать курсор по экрану для выбора пунктов ме-ню или выделения фрагментов экрана. Одним из таких манипуляторов является "мышь".

- Сканер - устройство, позволяющее вводить в ЭВМ изображения в виде текстовой или графической информации.

- Модем - устройство для обмена информацией с другими компьютерами через те-лефонную сеть. Они могут быть внутренними (вставляемыми в системный блок) и внеш-ними (подключаемыми как отдельное устройство).

- Факс-модем - сочетает возможности модема и средства обмена факсимильными изображениями с другими факс-модемами и обычными телефаксными аппаратами.

Физические носители магнитной информации – устройства, предназначенные для хранения информации, используемой при работе с компьютером.

Основным из них является накопитель на жестком диске (винчестер). Он предна-значен для постоянного хранения информации, используемой при работе с компьютером. Жесткий диск находится внутри компьютера и является несъемным. При необходимости

4

получения информации с такого диска, ее необходимо копировать на другие носители. Объем информации, записанной на жестком диске, зависит от его емкости. Сведе-

ния об этом диске могут быть получены из технической или справочной документации, где дается характеристика стандартных комплектов различных типов ПЭВМ. Точная ин-формация о технических параметрах конкретного компьютера выдается на монитор при загрузке машины либо по специальному запросу пользователя.

Следует помнить, что при хранении пакетов прикладных программ на жестком диске сама информация по программам (то, что обычно интересует следователя) чаще всего содержится на внешних запоминающих устройствах. Однако в разрозненном виде, отдельно друг от друга ни сам пакет, ни цифровые (текстовые) материалы использованы быть не могут.

Жесткие диски не обеспечивают конфиденциальности информации, если с компь-ютером работает более одного пользователя. В этом случае для доступа к программам мо-гут быть использованы различные шифры и пароли.

Другим широко распространенным видом носителей информации являются нако-пители на гибких магнитных дисках (FDD — Floppy Disk Drive). Для работы на таком на-копителе используются гибкие диски (ГД) — дискеты.

Дискеты предназначены для долговременного хранения программ или массивов информации, которые загружаются в память компьютера по мере необходимости. С их помощью осуществляются резервирование (копирование) информации, обеспечение кон-фиденциальности данных, транспортирование (перемещение в пространстве) данных, распространение (тиражирование) информации. Суть и устройство дискет одинаковы. Они различаются по размерам, внешнему виду и оформлению.

Еще одним видом накопителей информации являются магнитные ленты. Они не получили достаточного распространения в профессиональных ЭВМ, так как время досту-па к информации на них значительно больше, чем на дискетах. Чаще всего такой тип на-копителя используется для дублирования других накопителей и хранения архивированной информации. Такой вид накопителя называют стример.

В последние годы широко внедряется еще один вид накопителей магнитной ин-формации - накопители на оптических дисках. Для их использования компьютер должен быть оборудован специальным устройством - накопителем на оптических дисках.

Принцип работы оптических дисководов основан на использовании луча лазера для записи и чтения информации в цифровом виде. По функциональным признакам НОД делятся на три категории:

- без возможности записи (только для чтения); - с однократной записью и многократным чтением; - с возможностью перезаписи. С целью повышения надежности хранения информации разрабатываются и другие

виды носителей компьютерной информации. В их числе: - память на цилиндрических магнитных доменах (ЦМД); - голографическая память. Однако эти носители информации пока не получили широкого распространения. Программные средства компьютерной техники – представляют собой объек-

тивные формы представления совокупности данных и команд, предназначенных для

5

функционирования компьютеров и компьютерных устройств с целью получения опреде-ленного результата, а также подготовленные и зафиксированные на физическом носителе материалы, полученные в ходе их разработок, и порождаемые ими аудиовизуальные ото-бражения.

К ним относятся: 1) Программное обеспечение, представляющее собой совокупность управляющих и

обрабатывающих программ, предназначенных для планирования и организации вычисли-тельного процесса автоматизации программирования и отладки программ решения при-кладных задач, состоящее из:

- системных программ (операционные системы, программы технического обслужи-вания: драйверы, программы - оболочки, вспомогательные программы - утилиты);

- прикладных программ (комплекса специализированных программ), предназна-ченных для решения определенного класса задач, например, редакторы текстов, антиви-русные программы и системы, программы защиты от несанкционированного доступа, табличные процессоры, системы управления базами данных (СУБД), графические редак-торы, системы автоматизированного проектирования (САПР), интегрированные системы, бухгалтерские программы, программы управления технологическими процессами, авто-матизированные рабочие места (АРМ), библиотеки стандартных программ и т.п.;

- инструментальных программ (систем программирования), состоящих из языков программирования: Microsoft Visual C++, Pascal, Borland Pascal, Microsoft Visual Basic, Clipper, Delphi и др., и трансляторов - комплекса программ, обеспечивающих автоматиче-ский перевод с аморитмических и символических языков в машинные коды.

2) Машинная информация (информация на машинном носителе) владельца, поль-зователя, собственника.

В самом общем виде, программные средства, это описания, воспринимаемые ЭВМ, и достаточные для решения на ней определенных задачи. Для составления программ ис-пользуются искусственные языки, получившие название языков программирования. Обычно ЭВМ воспринимает и выполняет программы, написанные с использованием од-ного конкретного языка, который является машинным языком данной ЭВМ. Машинным называется язык, состоящий исключительно из символов "0" и "1" и необходимый компь-ютеру для непосредственного выполнения инструкций и команд. Однако сегодня исполь-зование специальных программ может обеспечить возможность для конкретной ЭВМ по-нять и другие языки программирования — путем перевода текстов, написанных на этих языках, в тексты на машинном языке. Таким образом, существует возможность использо-вания любого языка программирования при наличии средств их реализации на данной ЭВМ.

Следы компьютерных преступлений

Аппаратные и программные компьютерные средства являются носителями следов. Следы преступлений на аппаратных и программных средствам могут иметь раз-

личную природу и разный характер, что и предопределяет способы их обнаружения. Компьютер, его переферийное оборудование и физические носители магнитной

информации могут являться объектом преступного посягательства при незаконном завла-дении средствами компьютерной техники. В таких случаях имеют место традиционные

6

способы совершения обычных видов преступлений, в которых действия преступника на-правлены на изъятие чужого имущества.

При этом могут быть обнаружены следы, не носящие специфического для такого рода преступлений характера (пальцев рук, взлома и т.д.).

Следы преступлений в сфере компьютерной информации носят специфический ха-рактер, который определяется специфичностью самого понятия «информация».

Отражение - свойство материи, присутствующее там, где возникает взаимодейст-вие двух или более объектов.

Процесс познания начинается с восприятия объекта познания. Воспринимать же любой объект можно только по каким-либо параметрам, например, по размерам, форме, цвету и т.д., отличающим данный объект от окружающей среды.

С точки зрения логики, различие суть отрицание неразличимости, а сообщение, по-зволяющее уничтожить такую неразличимость, и есть информация.

Информация существует тогда, когда хотя бы два объекта из совокупности разли-чаются, и она исчезает, когда такие объекты отождествляются.

Основываясь на этой концепции можно считать, что процесс выделения информа-ции состоит в установлении разнообразия объекта познания, что возможно только при ре-альном существовании такого разнообразия и его отражения, воспринимаемого отражаю-щим объектом или познающим субъектом.

Носители компьютерной информации не являются объектами криминалистических исследований, пока не несут в себе следов совершенного либо совершаемого преступле-ния1. Существенно важно то, что такая информация может восприниматься не только субъектом, но и техническим устройством, а также может быть отделена от отображения объекта познания. Поэтому информацию можно переносить в пространстве, сохранять во времени, передавать другому познающему объекту или техническим устройствам. Сово-купность операций, проводимых с информацией, называют информационным процессом.

Вся работа компьютерных средств так или иначе связана с информацией. Однако компьютер может обрабатывать информацию, представленную только в числовой форме. Любая другая информация, требующая обработки на компьютере (видеоизображение, ри-сунок, звуки, показания приборов и проч.), должна быть предварительно преобразована в числовую форму. Аналогично обрабатывается и текстовая информация. При этом каждая вводимая в компьютер буква кодируется только ей присущим числом, а при выводе она снова переводится в обычный для нас символ. Такой процесс называется кодировкой сим-волов.

В компьютерах вся информация представляется в виде последовательностей нулей и единиц, т.е. в основу работы компьютера заложена двоичная система счисления. Работа же человека на компьютере происходит в обычной для него десятичной системе счисле-ния с использованием символов привычного алфавита. С научной точки зрения цифровое представление информации гораздо более точное, чем аналоговое. Поэтому использова-ние цифровых каналов связи, компьютерных носителей информации значительно улучша- 1 Для точности понимания приведем аналогию. Нож сам по себе не является объектом исследова-ния криминалиста до тех пор, пока не стал орудием преступления. В этом случае он несет кри-миналистическую информацию о совершенном преступлении, заключенную в его физико-технических параметрах, следах крови, тканей и проч.

7

ет качество передаваемой информации, повышает соответствие ее оригиналу, максималь-но ограждает пользователя от получения некорректной или ошибочной информации.

При создании информации в форме, воспринимаемой компьютером или при ее мо-дификации, физическое лицо или машина, фактически, устанавливают правила ее исполь-зования.

Таким образом, компьютерная информация представляет собой, с одной стороны, сведения, знания или набор команд (программу), предназначенные для использования в ЭВМ или управления ею, находящиеся в ЭВМ или на машинных носителях, а с другой - идентифицируемый элемент информационной системы, имеющий собственника, устано-вившего правила ее использования.

Криминалистический вопрос о тождестве компьютерной информации, также так и в других разделах следоведения, решается с помощью установления индивидуальности и относительной устойчивости идентифицируемых объектов. При этом под индивидуально-стью объекта понимается его безусловное отличие от любых других объектов, а под ус-тойчивостью - его способность на протяжении длительного времени сохранять относи-тельно неизменными свои существенные свойства.

Базовым понятием для установления идентификационных признаков информации, обрабатываемой компьютерными устройствами, является понятие и термин “файл” – упо-рядоченный объем информации, имеющий начало и конец, существующий физически в ЭВМ, системе ЭВМ или в сетях ЭВМ.

Все операции, производимые компьютерной техникой, осуществляются над фай-лами, и именно они, как правило, являются хранителями информации. Для файлов, обра-батываемых компьютером, характерны следующие стандартные свойства:

- тип информации - текстовая, числовая, графическая и др.; - местонахождение информации - описание места расположения на временном или

постоянном носителе и указание типа носителя; - наименование файла - символьное описание названия; - размер (объем) хранимой информации (количество страниц, абзацев, строк, слов,

символов или байт); - время создания, время изменения; - атрибуты файла (архивный, скрытый, системный, только для чтения и др.). Факультативными свойствами могут быть: тема, автор, создавший или изменив-

ший информацию; группа, в которую включен данный файл, ключевые слова, заметки ав-тора или редактора.

Приведенный набор свойств (во многих программах, например в ОС MS-Windows, он является стандартным для файлов) позволяет говорить о наличии необходимых с точки зрения криминалистики свойств файлов, позволяющих идентифицировать файлы и нахо-дящуюся в них информацию.

Файлы делятся на категории – текстовые, двоичные, звуковые и т.д. Текстовые файлы предназначены для чтения человеком.

Каждый файл на диске имеет обозначение, которое состоит из двух частей - имени и расширения. Имя файла содержит его название, данное при его изготовлении. Если файл имеет расширение (оно не обязательно), то после имени файла стоит точка и записано расширение, имеющее от одного до трех символов. Расширение чаще всего позволяет оп-

8

ределить, какая программа создала файл. Все файлы записываются в оглавление на машинном носителе и с помощью про-

стейших команд выдаются на экран монитора. По этому оглавлению можно первоначаль-но ознакомиться с содержимым носителя.

При организации массивов информации в машинах существует строгая иерархия данных: элементарное данное – запись - файл.

Определенным способом составленный двоичный файл или система таких файлов образуют компьютерную программу.

Конкретные файлы содержат информацию, в силу чего могут относиться к следам – отражениям в широком смысле этого понятия.

В тоже время следует понимать, что состоящая из совокупности файлов программа для ЭВМ, в отличие от единичного файла, имеет двойственную природу: с одной стороны, она содержит информацию, а как совокупность команд и данных сама является информа-цией, а с другой - она является инструментом воздействия на информацию.

Однако и программа для ЭВМ, если она была подвергнута преступному воздейст-вию или использовалась для такового, также может рассматриваться, с точки зрения кри-миналистики, в качестве следов того или иного воздействия.

В частности, специфическими, присущими исключительно определенным видам компьютерных преступлений, следами являются вредоносные программы для ЭВМ. Вре-доносные программы для ЭВМ - новый термин, введенный законодателем. Ранее для обо-значения этого явления в литературе использовалось понятие “компьютерный вирус” или “информационные инфекции” - специальную программу, способную самопроизвольно присоединяться к другим программам (т.е. “заражать” их) и при запуске последних вы-полнять различные нежелательные действия: порчу файлов и каталогов, искажение ре-зультатов вычислений, засорение или стирание памяти и т.п.

С криминалистической точки зрения, как и на всякий иной ограниченный объем информации, содержащийся в иных видах следов, воздействие на отдельный файл или программу, хранящуюся в ЭВМ, может повлечь за собой существенные изменения, влияющие на разрешение вопросов о тождестве конкретной компьютерной информации. С учетом предписаний материального закона и особенностей присущих компьютерной информации целесообразно выделить следующие виды такого воздействия.

1) Уничтожение информации - полная физическая ликвидация информации или ликвидация таких ее элементов, которые влияют на изменение существенных идентифи-цирующих информацию признаков.

Факторами, обуславливающими уничтожение информации, могут являться умыш-ленные или неосторожные действия лиц, имеющих возможность воздействовать на эту информацию, а также причины программно-технического характера, связанные с недос-татками или сбоями в работе устройств и систем.

2) Модификация (изменение) информации – внесение изменений, не меняющих сущности компьютерной информации (“адаптации” и “декомпиляции” программ).

Действующим законодательством разрешены следующие виды легальной модифи-кации программ, баз данных (и, следовательно, информации) лицами, правомерно вла-деющими этой информацией:

а) модификация в виде исправления явных ошибок;

9

б) модификация в виде внесения изменений в программы, базы данных для их функционирования на технических средствах пользователя;

в) модификация в виде частичной декомпиляции программы для достижения спо-собности к взаимодействию с другими программами.

3) Копирование информации, которое может осуществляться для целей использо-вания информации и хранения архивных дубликатов.

4) Блокирование информации - результат воздействия на ЭВМ и ее элементы, по-влекший временную или постоянную невозможность осуществлять какие-либо операции над компьютерной информацией.

Обнаружение, закрепление и изъятие компьютерной информации Необходимо учитывать, что, как справедливо отмечает В.А. Мещеряков, для таких

следов характерны «специфические свойства, определяющие перспективы их регистра-ции, извлечения и использования в качестве доказательств при расследовании совершен-ного преступления. Во-первых, «виртуальные следы» существуют на материальном носи-теле, но не доступны непосредственному восприятию. Для их извлечения необходимо обязательное использование программно-технических средств… Они не имеют жесткой связи с устройством, осуществившим запись информации, являющейся «виртуальным следом, … весьма неустойчивы, так как могут быть легко уничтожены. Во-вторых, полу-чаемые «виртуальные следы» внутренне ненадежны (благодаря своей природе), так как их можно неправильно считать»1.

В силу этого, деятельность по обнаружению компьютерной информация в виде файлов или программ для ЭВМ должна сосредотачиваться, прежде всего на конкретной ЭВМ, системе ЭВМ или их сети, а также на машинных носителях, круг которых примерно определен ниже.

К машинным носителям относятся: 1) Физические носители магнитной информации (иначе называемые устройствами

внешней памяти). В момент, когда компьютер выключен, информация в виде файлов хра-нится в различных устройствах внешней памяти (на дискетах, жестком диске, магнитной ленте и т.д.). Но тем не менее, файлы и в момент “неактивности” устройств внешней па-мяти существуют физически и имеют все необходимые идентификационные признаки. При работе с компьютерными носителями информации следователям чаще всего прихо-дится сталкиваться с двумя видами носителей: винчестером (жестким диском) и дискета-ми (гибкими дисками).

2) Оперативное запоминающее устройство (ОЗУ) ЭВМ. При запуске компьютера в ОЗУ ЭВМ загружаются в определенном порядке файлы с командами (программами) и данными, обеспечивающими для ЭВМ возможность их обработки. Последовательность и характер такой обработки задается сначала командами операционной системы, а затем командами пользователя. Сведения о том, где и какая информация хранится или какими командами обрабатывается в ОЗУ, в каждый конкретный момент времени доступны поль-зователю и при необходимости могут быть им получены немедленно с помощью стан-дартных инструментов, существующих, например, в системе Windows-2000. 1 См.: Мещеряков В.А. Преступления в сфере компьютерной информации: правовой и криминали-стический анализ. – Воронеж: ВГУ, 2001. – С. 74 – 76.

10

3) ОЗУ периферийных устройств. В процессе обработки информации ЭВМ ведет активный обмен информацией со своими периферийными устройствами, в том числе с устройствами ввода и вывода информации, которые, в свою очередь, нередко имеют соб-ственные ОЗУ, где временно хранятся массивы информации, предназначенные для обра-ботки этими устройствами. Примером такого устройства является, в частности, лазерный принтер, где могут стоять “в очереди” на печать несколько документов. Устройство ОЗУ периферийных устройств сходно с ОЗУ ЭВМ. Оно поддается контролю и управлению и, следовательно, является носителем компьютерной информации.

4) ОЗУ компьютерных устройств связи и сетевые устройства. Большинство пери-ферийных устройств связи (модемы и факс-модемы) имеют свои ОЗУ или “буферные” устройства, где находится информация, предназначенная для дальнейшей передачи. Вре-мя нахождения в них информации может быть различным и исчисляться от секунд до ча-сов.

5) Данные о прохождении информации по проводной, радио-, оптической и другим электромагнитным системам связи (электросвязи) 1.

Обнаружение закрепление и изъятие компьютерной информации и следов воздей-ствия на нее может осуществляться в различных исходных условиях.

При поиске и изъятии информации и следов воздействия на нее в ЭВМ и ее устрой-ствах следует исходить из того, что в компьютере информация может находиться непо-средственно в оперативном запоминающем устройстве (ОЗУ) при выполнении програм-мы, в ОЗУ периферийных устройств и на внешних запоминающих устройствах (ВЗУ).

Наиболее эффективным и простым способом фиксации данных из ОЗУ является распечатка на бумагу информации, появляющейся на дисплее. Однако следует учитывать, что если возникла необходимость изъятия информации из оперативной памяти компьюте-ра (непосредственно из оперативного запоминающего устройства - ОЗУ), то сделать это возможно только путем копирования соответствующей машинной информации на физи-ческий носитель с использованием стандартных паспортизированных программных средств с соответствующим документальным приложением и в порядке, установленном следующими нормативными документами:

- Государственным стандартом (ГОСТ) 6.10.4-84 от 01.07.87 «УСД. Придание юри-дической силы документам на машинном носителе и машинограмме, создаваемым средствами вычислительной техники. Основные положения», и - Постановлением Госстандарта СССР от 24.09.86 № 2781, утвердившим «Методи-ческие указания по внедрению и применению ГОСТ 6.10.4-84 «УСД. Придание юридической силы документам на машинном носителе и машинограмме, создавае-мым средствами вычислительной техники. Основные положения»2. Изъятая только с использованием указанных нормативных документов машинная

информация будет относиться к разряду “документированной информации”, как требует того закон.

1 Подробно будет рассмотрено в следующем параграфе. 2 См.: Бюллетень нормативных актов министерств и ведомств СССР. – 1987. - № 7. – с. 41 – 46.

11

Если компьютер не работает, информация может находиться в ВЗУ и других ком-пьютерах информационной системы или в “почтовых ящиках” электронной почты или се-ти ЭВМ.

Необходимо произвести детальный осмотр файлов и структур их расположения; лучше это осуществить с участием специалиста в лабораторных условиях или на рабочем месте следователя.

Следует обращать внимание на поиск так называемых “скрытых” файлов и архи-вов, где может храниться важная информация.

Периферийные устройства ввода-вывода могут также некоторое время сохранять фрагменты программного обеспечения и информации, однако для вывода этой информа-ции необходимы глубокие специальные познания.

В ходе поиска и изъятие информации и следов воздействия на нее вне ЭВМ, могут быть обнаружены имеющие значение вещественных доказательств:

а) документы, носящие следы совершенного преступления, - телефонные счета, па-роли и коды доступа, дневники связи и пр.;

б) документы со следами действия аппаратуры. Например, в устройствах вывода (например, в принтерах) могут находиться бумажные носители информации, которые ос-тались внутри в результате сбоя в работе устройства;

в) документы, описывающие аппаратуру и программное обеспечение; г) документы, устанавливающие правила работы с ЭВМ, нормативные акты, рег-

ламентирующие правила работы с данной ЭВМ, системой, сетью, доказывающие, что преступник их знал и умышленно нарушал;

д) личные документы подозреваемого или обвиняемого. Учитывая особый характер как носителей следов таких преступлений, так и самих

следов, их обнаружение, закрепление и изъятие требует в большинстве случаев специаль-ной подготовки следователей и привлечения специалистов.

Деятельность следователя по обнаружению криминалистически значимой инфор-мации по делам о компьютерных преступлениях осуществляется путем обследования ап-паратных и программных компьютерных средств в ходе их выемки, обыска и осмотра. Центральным звеном в этой деятельности является осмотр конкретного компьютера и фи-зических носителей магнитной информации1.

Осмотр компьютера. Прежде всего, рекомендуется не забывать при осмотрах о возможностях сбора традиционных доказательств (отпечатков пальцев рук на клавиатуре,

1 Об особенностях производства иных процессуальных действий при расследовании преступлений в сфере компьютерной информации см.: Крылов В.В. Информационные компьютерные преступ-ления. – М.: Издательская группа ИНФРА-М – НОРМА, 1997. – 285 с.; Крылов В.В. Расследова-ние преступлений в сфере информации. – М.: Издательство Городец, 1998. – 264 с.; Пособие для следователя: Расследование преступлений повышенной опасности / Под ред. Н.А. Селиванова и А.И. Дворкина. – М.: Издательство «Лига Разум», 1998. – 444 с.; Расследование неправомерного доступа к компьютерной информации / Под ред. Н.Г. Шурухнова. – М.: Издательство Щит-М, 1999. – 254 с.; Методическое пособие по расследованию преступлений в сфере компьютерной информации и осуществлению прокурорского надзора за исполнением законов при их расследо-вании. – М.: НИИ проблем укрепления законности и правопорядка при Генеральной прокуратуре Российской Федерации, 2001. – 44 с.; Андреев Б.В., Пак П.Н., Хорст В.П. Расследование престу-плений в сфере компьютерной информации. – М.: ООО Издательство «Юрлитинформ», 2001. – 152 с.

12

выключателях и др., шифрованных рукописных записей и пр.). Фактически оптимальный вариант организации и проведения осмотра ЭВМ и ма-

шинных носителей информации - это фиксация их и их конфигурации на месте обнаруже-ния и упаковка таким образом, чтобы аппаратуру можно было бы успешно, правильно и точно так же, как на месте обнаружения, соединить в лабораторных условиях или в месте производства следствия с участием специалистов.

Однако порой это не представляется возможным, в связи с чем, приступая к осмот-ру компьютера на месте его обнаружения, следователь и специалист, непосредственно производящий все действия, в первую очередь должны обеспечить сохранность на ЭВМ данных и ценной информации. Для этого необходимо:

1) не разрешать, кому бы то ни было из лиц, работающих на объекте осмотра или находящихся здесь по другим причинам (персоналу), прикасаться к ЭВМ с любой целью;

2) не разрешать, кому бы то ни было из персонала выключать электроснабжение объекта;

3) самостоятельно не производить никаких манипуляций со средствами компью-терной техники, если результат этих манипуляций заранее неизвестен.

Непосредственно в ходе осмотра компьютерной техники следует принимать во внимание следующие неблагоприятные факторы:

- возможные попытки со стороны персонала повредить ЭВМ с целью уничтожения информации и ценных данных;

- возможное наличие на компьютере специальных средств защиты от несанкциони-рованного доступа, которые, не получив в установленное время специальный код, автома-тически уничтожат всю информацию;

- возможное наличие на ЭВМ иных средств защиты от несанкционированного дос-тупа

- постоянное совершенствование компьютерной техники, следствием чего может быть наличие на объекте программно-технических средств, незнакомых следователю.

В целях недопущения вредных последствий перечисленных факторов следователь должен придерживаться следующих рекомендаций:

- перед выключением питания по возможности корректно закрыть все используе-мые программы, а в сомнительных случаях просто отключить компьютер (в некоторых случаях некорректное отключение компьютера - путем перезагрузки или выключения пи-тания без предварительного выхода из программы и записи информации на постоянный носитель - приводит к потере информации в оперативной памяти и даже к стиранию ин-формационных ресурсов на данном компьютере).

- принять меры к установлению пароля доступа в защищенных программах; - при необходимости консультаций у персонала предприятия, получать их у разных

сотрудников данного отдела путем опроса порознь. Такой метод позволит получить мак-симально правдивую информацию и избежать преднамеренного вредительства;

- при нахождении ЭВМ в локальной вычислительной сети необходимо иметь бри-гаду специалистов для быстрого реагирования на движение информации по сети;

- наряду с осмотром компьютера обеспечить осмотр документов о пользовании им, в которых следует обратить особое внимание на рабочие записи операторов ЭВМ, т.к. часто именно в этих записях неопытных пользователей можно обнаружить коды, пароли и

13

другую очень ценную для следствия информацию. При осмотре должен присутствовать кто-либо из сотрудников предприятия, спо-

собный дать пояснения по установленному на ЭВМ программному обеспечению. Если на начальной стадии осмотра не удалось установить пароли и коды исполь-

зуемых программ, то компьютер подлежит опечатыванию и выемке, с тем, чтобы в после-дующем в стационарных условиях прокуратуры или лаборатории с привлечением специа-листов-программистов осуществить "взлом" паролей и кодов, осуществить надлежащий осмотр компьютера и содержащихся на нем файлов. В таких случаях достаточно изъять только системный блок, в который входят жесткий диск, процессор, накопители на маг-нитных дисках. Остальную часть компьютера - монитор, клавиатуру, принтер - следует опечатать.

Если непосредственный доступ к информации на компьютере возможен и все не-желательные ситуации исключены, при осмотре и работе следователь и специалист долж-ны четко объяснять понятым все совершаемые ими действия.

При осмотре должны быть установлены: - конфигурация компьютера с четким описанием всех устройств; - номера моделей и серийные номера каждого из устройств; - инвентарные номера, присваиваемые бухгалтерией при постановке оборудования

на баланс предприятия; - прочая информация с фабричных ярлыков. В ходе осмотра компьютера необходимо детально откопировать и переписать со-

держимое жесткого диска. Если в осмотре принимает участие специалист, эта работа по-ручается ему.

Если же специалиста нет, необходимо сделать следующее: при включении компь-ютера на экране выдается таблица программной оболочки Norton Commanders, жесткий диск может быть разделен на части, поэтому нажмите одновременно две клавиши Alt +Fl — на экране появится картинка с именами всех дисков, которыми оперирует данный ком-пьютер. Если у компьютера два дисковода, что видно из наружного осмотра, то им соот-ветствуют латинские буквы «А» и «В» (если дисковод один, буква В отсутствует). Буквы, начиная с «С», соответствуют разделению жесткого диска на части. При наличии устрой-ства для чтения лазерных дисков, ему соответствует последняя в списке буква (при одном дисководе ему может соответствовать и буква «В»). Выделите курсором букву «С», на-жмите клавишу ENTER, и в левом окне появится список программ, записанных на диске «С».

В списке будут записи двух видов — файлы, написанные строчными буквами (это могут быть отдельные программы или служебные файлы) и каталоги, написанные про-писными буквами. Если курсор установить на название каталога и нажать клавишу Enter, то на экране появится список файлов, входящих в данный каталог. Каталоги имеют иерар-хическую структуру и могут быть вложены один в другой. Все их необходимо переписать. Каждая программа занимает определенный объем на диске. Размер программы указан в нижней строке, ограниченной двойной рамкой. Для того чтобы определить размер целого каталога, после входа в него следует нажать клавишу "большой серый плюс" на цифровой клавиатуре и клавишу ENTER. Каталог (все входящие в него программы) будет выделен другим цветом, а в нижней строке будет указан его объем.

14

При наличии принтера эту информацию необходимо распечатать, в противном случае – переписать от руки.

Когда левом окне будет находиться оглавление диска «С», его же необходимо вы-вести в правом окне (для этого нажать одновременно клавиши Alt+F2). После этого сле-дует вывести в окно содержимое первого по списку каталога, включить принтер, запра-вить в него бумагу, а на клавиатуре ЭВМ нажать клавишу Print Screen (третья справа кла-виша в верхнем ряду), после чего на бумаге появится точная копия экрана монитора.

Данную операцию следует повторить для всех каталогов диска «С», каждый раз выдавая картинку на печать (одновременно возможно выдавать два каталога, вызвав их в правом и левом окнах).

Аналогичным образом должны быть сделаны распечатки всего жесткого диска («D», «Е» и т. д.).

Все листы с информацией должны быть подписаны специалистом, который прово-дил запись информации, следователем, понятыми и представителем организации (пользо-вателем), где производится осмотр, и прилагаться к протоколу следственного действия.

Для копирования информации в ходе осмотра необходимо иметь: - дискеты в упаковках или россыпью, предварительно отформатированные; - коробки (желательно пластиковые) для хранения дискет; - пакеты для упаковки дискет в коробке; - материал для опечатывания дискет и компьютеров. Осмотр физических носителей магнитной информации (на примере дискет), как

правило, особых трудностей не представляет, но и его необходимо проводить с участием свидетеля. Если информация на них не имеет значения для следствия, то такие дискеты подлежат возврату по принадлежности. Если же у специалиста имеются хотя бы малей-шие подозрения относительно информации, находящейся на дискетах, они должны быть скопированы, опечатаны и изъяты для проведения тщательной экспертизы.

При копировании информации с дискет необходимо повторить все те же операции, которые были описаны для работы с жестким диском. Причем их следует произвести с каждой осматриваемой дискетой отдельно. Для этого дискеты поочередно вставляют в дисковод ПЭВМ и аналогичным образом распечатать их содержимое.

Перед тем как закончить работу с дискетой, целесообразно снять с нее две копии: одна оставляется в качестве контрольного экземпляра; вторая предназначается для прове-дения экспертизы.

Завершив работу с дискетой, следует: - на дискете 3,5 дюйма открыть окно слева, опечатать его; - на дискете 5,25 дюйма опечатать вырез в верхней части правой стороны. Эта операция обеспечит защиту записи на данной дискете. Все документы, полученные в результате работы с дискетами, должны быть подпи-

саны, упакованы в коробки и опечатаны согласно процедуре. Весь процесс и результаты следственного действия должны быть тщательно зафик-

сированы в протоколе, который должен содержать вводную, описательную и заключи-тельную части.

При этом в описательной части протокола необходимо отразить все действия, про-изводимые следователем, обстановку, местонахождение и состояние предметов и доку-

15

ментов. Следует охарактеризовать и индивидуализировать компьютер (или его составную часть), указать номер, марку, форму, цвет, размер и пр., чтобы можно было отличить от сходных предметов. Особо выделяются изменяющиеся признаки и особенности, которые со временем могут быть утрачены (влажность, напыление, помарки и т.д.).

Примером описательной части протокола осмотра компьютера может служить сле-дующее:

«Осмотром установлено: Компьютер находится в помещении ЗАО «Информация» по адресу: …. Комплект компьютера состоит из 4 устройств: 1) системного блока, 2) монитора, 3)

клавиатуры, 4) манипулятора - мышь. 1. Системный блок модели ST-406 LT PASS HIPOT PASS FDD PASS SI. Фирмы

KRAFT COMPUTER. На задней панели прозрачной липкой лентой наклеен на полоске бумаги номер 1241708/4. Системный блок имеет 3 входа: 1 - с надписью POWER; 2 - без надписи; 3 - с надписью KEYBOARD. Все подключены к кабелям, соединенным с розет-ками электропроводки.

Имеет 5 выходов: 1 - corn 2; 2 - game; 3 - printer; 4 - mouse; 5 - svga, из которых под-ключены выходы 4 и 5.

На лицевой панели два дисковода размером 3,5 и CD-ROM, клавиши: включения, Reset, turbo, lock, окно индикатора частоты. На момент начала осмотра компьютер отклю-чен.

2. Монитор фирмы Daewoo, модель CMC-14276. Серия N5126 Е 0019. Произведено в декабре 1995 в Корее. Инвентарный номер отсутствует. На момент начала осмотра мо-нитор отключен.

3. Клавиатура - FCC I D Е 8 НКВ-2313. Модель N КВ-2313. Серия 5 К 83002684. На нижней панели прозрачной липкой лентой наклеен на полоске бумаги номер 01380432. К моменту начала осмотра отключена от системного блока.

4. Мышь FCC I D E MJMU SGC. На нижней панели имеется наклейка из белой бу-маги с надписью "MUSC GL V 34А АА (Т6). Мышь овальной формы размером 4,5 х 11 см из пластмассы серого цвета, на верхней поверхности имеет 3 клавиши. К моменту начала осмотра отключена от системного блока.

В ходе осмотра компьютер включен в штатном режиме. Перед загрузкой операци-онной системы сведения о защите компьютера паролем или иными средствами защиты не выявлены. После загрузки на экране появилась таблица программы Norton Commander (NC). Жесткий диск разделен на две логические части, обозначенные «С» и «D».

На диске «С» находятся 12 каталогов (ARCH, AVIR, DOS, DRIVER, DRWEB, FOXPR025, INFIN.PLL, KEYRUS, LETTRIX, LEX, NC, TOOLS) и 12 программных файлов (Image.idx, io.sys, Msdos.sys, autoexec.bak, autoexec.bat, command.com, config.sys, dwf.exe, image.dat, norton.ini, op.bat, printer.bat). Всего программы занимают 45978 байт.

На диске “D” находятся 24 каталога (ARH, BUHGALT, CLIPPER5, DRV, INFIN, KARAT, N196, N296, N396, N496, N596, NAL, NAL1, NAL2, NAL3, NAL4, NAL5, PENS), PENSION, PLAT, SPR, VED, XTGOLD, ZARP) и 5 программных файлов (Archbase.bat, dwf.exe, infin.com, infin.ins, infin.ovl), занимающие 29333 байт памяти).

Сведения об информации, находящейся на дисках «С» и «D», распечатаны на принтере с помощью клавиши Print Screen. В распечатках указывается объем памяти, ко-

16

торый занимает каждый каталог. Распечатки в полном объеме на … листах прилагаются к настоящему протоколу.

После завершения распечатки все программы и информация, содержащиеся на дисках «С» и «D» откопированы на 45 (15 х 3) дискет Verbatim. Один комплект копий (15 дискет) передан на ответственное хранение свидетелю Головач В.И. – генеральному ди-ректору ЗАО «Информация»; другой (15 дискет) упакован в две прозрачные пластмассо-вые коробки, которые опечатаны печатью прокуратуры … №…, на коробки наклеены по-лоски бумаги с надписью «контроль»; третий (15 дискет) также упакован в две прозрач-ные пластмассовые коробки, которые опечатаны печатью прокуратуры … №…, на короб-ки наклеены полоски бумаги с надписью «для исследования».

После завершения копирования компьютер выключен и отключен от сети, соеди-нительные кабеля извлечены из своих гнезд, входы и выходы системного блока опечатаны печатью прокуратуры … №…, сам процессор упакован в картонную коробку, которая проклеена лентой-скотч, опечатан печатью прокуратуры … №…».

Сохранение следов компьютерных преступлений

Опечатывание компьютеров и физических носителей магнитной информации. При изъятии компьютеров и магнитных носителей их следует опечатать.

При опечатывании компьютеров не следует пользоваться жидким клеем или дру-гими веществами, которые могут испортить его. Наиболее просто рекомендуется опеча-тывать компьютер следующим образом:

1. Выключить компьютер. 2. Отключить его от сети. 3. Отсоединить все разъемы. При этом каждый из них должен быть опечатан. 4. На длинную полосу бумаги следует поставить подписи следователя, специали-

ста, понятых, представителя персонала или администрации и номер. Эту полосу наложить на разъем и приклеить. В качестве клеящего средства использовать липкую ленту или гус-той клей. При использовании липкой ленты, ее надо наносить так, чтобы любая попытка снять ее нарушала бы целостность бумажной ленты с подписями.

5. Аналогично должен быть опечатан разъем шины (соединительного провода). При этом номера на разъемах блока компьютера и шины должны быть одинаковыми. Для облегчения операции сборки и подключения компьютера в дальнейшем на бумажной по-лосе, опечатывающей шину, можно указать, к какому блоку должен подключаться разъем. Например: "1 — системный блок". На другом конце той же шины может стоять надпись "2 — монитор".

6. Если бумажная лента достаточно длинная, ее можно крепить к боковым поверх-ностям блоков компьютера, либо к поверхности стенки, но так, чтобы не задевать другие детали.

Для опечатывания дискет необходимо: - упаковать их в жесткую коробку, опечатать ее; - на листе бумаги сделать описание упакованных дискет: количество, тип каждой

из них, что указано на бирках (если они есть); - коробку с дискетами и лист с описанием положить в полиэтиленовый пакет, ко-

торый заклеить.

17

При опечатывании дискет недопустимо производить какие-либо действия с самими дискетами. Аналогично следует опечатать копии, снятые на месте.

Транспортировка и хранение компьютерной техники и физических носителей маг-нитной информации должны осуществляться с соблюдением следующих основных мер безопасности:

1. При перевозке компьютеров следует исключить их механические или химиче-ские повреждения.

2. Не допускать магнитных воздействий как на компьютеры, так и на магнитные носители информации, т.к. это может привести к порче или уничтожению информации путем размагничивания.

3. Оградить изъятое от воздействия магнитосодержащих средств криминалистиче-ской техники (например: магнитных подъемников, магнитных кисточек для выявления следов рук и проч.).

4. Соблюдать правила хранения и складирования технических средств. 5. Нельзя ставить компьютеры в штабель выше трех штук, а также ставить их на

какие-либо другие вещи. 6. Помещение для хранения должно быть теплым, отапливаемым, без грызунов. 7. Компьютеры нельзя держать в одном помещении со взрывчатыми, легко вос-

пламеняющимися, огнеопасными, едкими, легко испаряющимися химическими препара-тами, а также с предметами, которые могут создавать магнитные поля.

8. Не рекомендуется курить, принимать пищу и содержать животных в помещени-ях, предназначенных для хранения компьютерной техники и магнитных носителей.

Исследование аппаратных и программных средств компьютерной техники

Следователь не в состоянии отслеживать все технологические изменения в сфере компьютерных технологий и информатики, в связи с чем, в исследовании следов компью-терных преступлений велика роль специалистов и экспертов. Особое внимание при этом должно уделяться использованию возможностей экспертизы компьютерных систем и компьютерной информации.

Выделяют два вида компьютерно-технических экспертиз: (1) техническая экспертиза компьютеров и их комплектующих, и (2) экспертиза программного обеспечения и компьютерной информации. Последняя иногда называется «информационно – аналитической технической экс-

пертизой». Применительно к источникам и носителям информации, объектами таких экспер-

тиз могут являться: 1. Компьютеры в сборке и их системные блоки. 2. Компьютерные системы (компьютерные сети). 3. Периферийные устройства (дисплеи, принтеры, дисководы, клавиатура и др.). 4. Технические средства и магнитные носители информации, множительная техни-

ка, средства спецтехники и связи. 5. Электронные записные книжки, пейджеры, телефоны подвижной связи, иные

носители текстовой или цифровой информации.

18

6. Распечатки программных и текстовых файлов. 7. Словари поисковых признаковых систем, классификаторы. 8. Документы, изготовленные с использованием компьютерных систем и электрон-

ных средств передачи и копирования информации (факсы, ксерокопии и т. д.). 9. Компьютерная информация (программы, тексты), в том числе визуальная и ау-

дио информация. 10. Техническая и сопроводительная документация к компьютерной и электронной

технике. 11. Системные процессы обмена информацией и связи между элементами компью-

терных систем. 12. Видео- и звукозаписи, в том числе на лазерных дисках. Основными методами исследования таких объектов являются квалифицированное

наблюдение, системный анализ, математическое моделирование, инструментальный ана-лиз с применением ЭВМ, статистический и социальный эксперимент, метод экспертных оценок, специальные методы предметных наук.

Задачи, решаемые при компьютерно-технической экспертизе, делятся на диагно-стические и идентификационные:

а) диагностические задачи (или задачи общего системного анализа): диагностика и классификация систем (например, классификация компьютерной системы (принтера, фак-са, копира) по тексту, изготовленному с ее применением; отнесение информации к катего-рии программного обеспечения ЭВМ); определение структуры и функций систем; опреде-ление элементов системы и ее границ; анализ системных норм; определение семантики и грамматики спорных текстов, работы неизвестных компьютерных систем, воздействия деятельности систем на окружающую микро- и макросреду; реконструкция и прогнозиро-вание поведения систем; определение надежности и устойчивости компьютерных систем; отнесение конкретных программ к вредоносным;

б) идентификационные задачи: идентификация системы; идентификация автора машинного текста; криминалистическая диагностика системных процессов и поведения систем; системный анализ обстановки места происшествия (ОМП); реконструкция ОМП методами математического анализа и компьютерного моделирования; криминалистиче-ская диагностика роли и функционального назначения отдельных элементов компьютер-ной системы, диагностика межэлементных связей и отношений; диагностика интеллекту-ального взлома системы.

Из перечня задач вытекают и конкретные вопросы, которые могут быть поставле-ны перед экспертом, которые могут формулироваться следующим образом:

При технической экспертизе компьютеров и их комплектующих: а) диагностические задачи: - К какой модели относится представленный на исследование компьютер? - Каковы технические характеристики системного блока и периферийных уст-

ройств данного компьютера? - Каковы технические характеристики конкретной вычислительной сети? - Где и в какое время собран данный компьютер и его комплектующие? - В заводских условиях или кустарно осуществлена сборка данного компьютера?

19

- Соответствует ли внутреннее устройство компьютера и его периферии прилагае-мой технической документации?

- Не внесены ли в конструкцию компьютера какие-либо изменения? - Исправен ли данный компьютер и его комплектующие? - Какова степень износа компьютера и его комплектующих? - Какова причина неисправности компьютера и периферийных устройств? - Имеют ли магнитные носители информации какие-либо физические дефекты? - Не производилась ли переделка (адаптация) компьютера для работы на нём спе-

цифических пользователей (человек со слабым зрением, левша и др.)? - Каковы технические характеристики иных электронных средств приёма, накопле-

ния и передачи информации? - Какое время необходимо для копирования представленной информации на пред-

ставленный носитель магнитной информации? б) идентификационные задачи: - Имеют ли комплектующие компьютера единый источник происхождения? - Какова конфигурация и состав компьютерных средств и можно ли с помощью

этих средств осуществить действия, инкриминируемые обвиняемому? При экспертизе программного обеспечения и компьютерной информации:

а) диагностические задачи: - Какая операционная система использована в данном компьютере? - Каково содержание информации, хранящейся на внутренних и внешних магнит-

ных носителях? - Имеется ли на жестком диске представленного на исследование компьютера ин-

формация, соответствующая представленному образцу? - Каково предназначение данных программных продуктов? - Каково функциональное назначение, характер, содержание информации, имею-

щейся на представленном на исследование компьютере (носителе магнитной информа-ции)?

- Каков алгоритм функционирования программных продуктов, способ ввода и вы-вода информации?

- Является ли данный программный продукт лицензированным? - Не внесены ли в данный программный продукт какие-либо коррективы, изменяющие

выполнение некоторых операций? - Соответствует ли полученный программный продукт техническому заданию? - Имело ли место использование паролей, программ защиты, скрытых файлов для

затруднения доступа к информации? - Каково содержание скрытой информации? - Каково содержание информацию, находящейся в зашифрованном файле, поиме-

нованном …, на носителе магнитной информации …? - Предпринимались ли попытки подбора паролей, взлома защитных средств или

иные попытки несанкционированного доступа к закрытой информации? - Осуществлялся ли несанкционированный доступ к компьютерной информации,

содержащейся на … ?

20

- Подвергалась ли данная компьютерная информация уничтожению, копированию, модификации, блокированию?

- Возможно ли восстановление стёртых файлов, дефектных магнитных носителей информации и каково содержание информации на них? Если да - восстановить стертые файлы с представленного носителя.

- Каков механизм утечки информации из локальных сетей, глобальных сетей и рас-пределённых баз данных?

- Какие правила эксплуатации ЭВМ существуют в данной информационной систе-ме, и были ли нарушены эти правила?

- Находится ли нарушение правил эксплуатации ЭВМ в причинной связи с унич-тожением (копированием, модификацией или блокированием информации)?

- Имеются ли сбои в функционировании компьютера, работе отдельных программ, какова их причина?

- Нарушение каких правил эксплуатации компьютерной системы привело к потере информации на ней? Можно ли восстановить информацию?

- Не является ли представленная для исследования программа вредоносной, и если да, то каков механизм ее действия?

- Не являются ли представленные файлы зараженными вредоносной программой, и если да, то какой именно?

- Не является ли причиной сбоев в работе компьютера наличие вредоносной про-граммы?

- Возможно ли восстановление повреждённой вредоносной программой информа-ции?

- Каково содержание информации, хранящейся на пейджере, в электронной запис-ной книжке?

- Когда созданы (произведено последнее изменение) данных на представленном для исследования носителе магнитной информации?

- Когда проводилась последняя корректировка данного файла (инсталляция кон-кретного программного продукта)?

- Каков уровень профессиональной подготовки в области программирования и ра-боты с компьютерной техникой человека, производившего данные действия с компьюте-ром и программным обеспечением?

б) идентификационные задачи: - Каковы технические характеристики аппаратных средств, необходимых для изго-

товления представленного на исследование документа …? - Кем создана данная компьютерная программа? - Могла ли данная компьютерная программа быть создана конкретным специали-

стом? - Каков способ изготовления представленных документов (программ, текстов, дан-

ных иного формата)? - Не являются ли обнаруженные файлы копиями информации, находившейся на

конкретной ЭВМ? - Не являются ли представленные тексты на бумажном носителе записями исход-

ного кода программы, и каково назначение этой программы?

21

- Какие программные и технические средства использованы при изготовлении представленного на исследование документа?

Перед назначением экспертизы формулировки вопросов целесообразно согласовать с экспертом.

Большую помощь в исследовании аппаратных и программные средств компьютер-ной техники могут оказать специалисты информационно-вычислительных центров регио-нальных УВД МВД России. Следует иметь в виду, что в системе МВД начато производст-во так называемых программно-технических экспертиз, которыми могут решаться сле-дующие задачи:

1) восстановление стертых файлов и стертых записей в базах данных, уточнение времени уничтожения, внесения изменений, копирования и модификации компьютерной информации;

2) установление времени ввода в компьютер определенных файлов, записей в базы данных;

3) расшифровка закодированных файлов и другой информации, преодоление рубе-жей защиты, подбор паролей;

4) выяснение каналов утечки информации из локальных вычислительных сетей, глобальных сетей и распределенных баз данных;

5) выяснение технического состояния и исправности средств компьютерной техни-ки.

Наряду с этими основными задачами при проведении программно-технической экспертизы могут быть решены и некоторые задачи вспомогательного характера, а имен-но:

1) оценка стоимости компьютерной техники, периферийных устройств, магнитных носителей, программных продуктов, а также проверка контрактов на их поставку;

2) установление уровня профессиональной подготовки отдельных лиц в области программирования и работы со средствами компьютерной техники;

3) перевод документов технического содержания. В связи с тем, что при осмотре ЭВМ и носителей информации производится изъя-

тие различных документов, в ходе расследования может возникнуть необходимость в на-значении криминалистической экспертизы для исследования документов. Дактилоскопи-ческая экспертиза позволит выявить на документах, частях ЭВМ и машинных носителях следы пальцев рук причастных к делу лиц.

Оценка проведенных экспертиз компьютерных систем, компьютерных программ и информации, а также тактика их использования в качестве доказательств по делу, в сущ-ности не отличаются от оценки и использования заключений экспертиз традиционных ви-дов1.

§ 2. Следы преступлений в компьютерных сетях Значительная доля преступлений в сфере компьютерной информации совершается

с использованием сетей ЭВМ (компьютерных сетей). Сеть ЭВМ (компьютерная сеть) - это способ установления связи между удален-

1 См. также: Россинская Е.Р. Судебная экспертиза в уголовном, гражданском, арбитражном про-цессе. – М., 1996. – 224 С.

22

ными ЭВМ; пользователи сети ЭВМ получают техническую возможность доступа к ин-формации, циркулирующей в сети и других, связанных с нею ЭВМ, со своих рабочих мест, что позволяет одновременно и совместно решать общую задачу. Это не исключает ранжирования возможностей пользователей, установления барьеров на пути проникнове-ния любого из них к закрытой для него компьютерной информации.

Федеральный закон от 16.02.95 № 15-ФЗ «О связи»1 устанавливает, что «Средства связи вместе со средствами вычислительной техники составляют техническую базу обес-печения процесса сбора, обработки, накопления и распространения информации» (ч. 2 ст. 1). Для обмена информацией между ЭВМ создаются сети электрической связи или элек-тросвязи под которой понимаются всякая передача или прием знаков, сигналов, письмен-ного текста, изображений, звуков по проводной, радио-, оптической и другим электромаг-нитным системам (ст. 2). К сетям электросвязи законом отнесены:

- взаимоувязанная сеть связи Российской Федерации - комплекс технологически сопряженных сетей электросвязи на территории Российской Федерации, обеспеченный общим централизованным управлением;

- сеть связи общего пользования - составная часть взаимоувязанной сети связи Рос-сийской федерации, открытая для пользования всем физическим и юридическим лицам, в услугах которой этим лицам не может быть отказано;

- ведомственные сети связи - сети электросвязи министерств и иных федеральных органов исполнительной власти, создаваемые для удовлетворения производственных и специальных нужд, имеющие выход на сеть связи общего пользования;

- внутрипроизводственные и технологические сети связи - сети электросвязи феде-ральных органов исполнительной власти, а также предприятий, учреждений и организа-ций, создаваемые для управления внутрипроизводственной деятельностью и технологиче-скими процессами, не имеющие выхода на сеть связи общего пользования;

- выделенные сети связи - сети электросвязи физических и юридических лиц, не имеющие выхода на сеть связи общего пользования.

Посредством этих сетей связи пользователь ЭВМ может иметь доступ к междуна-родным сетям связи, а также к сетям связи, созданным в отдельных зарубежных странах. ЭВМ, даже имеющая доступ к сети, не обязательно должна быть всегда включена в сеть связи, поскольку имеется техническая возможность временно отключаться от сети и бло-кировать поступление компьютерной информации извне. Наиболее известной междуна-родной компьютерной сетью является Internet.

Следует отметить, что обнаружение, закрепление и изъятие следов преступлений, совершенных в компьютерных сетях, как правило, не может осуществляться следователем самостоятельно. Эта деятельность должна проводиться с обязательным участием специа-листа и с использованием специальных программно-технических средств. Однако, пра-вильная организация работы привлекаемых к участию в расследовании преступлений спе-циалистов предполагает знание следователем основных особенностей следов компьютер-ных преступлений в сетях ЭВМ и работы с ними.

1 См.: Собрание законодательства Российской Федерации, 1995. - № 8. – Ст. 600. С изменениями, внесенными Федеральными законами от 06.01.99 № 8-ФЗ и от 17.07.99 № 176-ФЗ. – Собрание за-конодательства Российской Федерации: 1999, № 2, Ст. 235; 1999, № 29, Ст. 3697.

23

При расследовании преступлений, совершенных с использованием компьютерных сетей могут использоваться их следы, представляющие собой сведения о прохождении информации1 по проводной, радио-, оптической и другим электромагнитным системам связи (электросвязи), которые носят обобщенное название сохраняемые поставщиками услуг (провайдерами, операторами электросвязи) «исторические данные» о состоявшихся сеансах связи или переданных сообщениях, либо «данные о потоках» или «данные о пото-ках информации» либо «сведения о сообщениях, передаваемых по сетям электрической связи (электросвязи)»2.

Указание сведения о сообщениях, передаваемых по сетям электросвязи, аккумули-руются в специальных файлах регистрации (т.н. log-файлах). В большинстве компьютер-ных систем ведение файлов регистрации – часть повседневной деятельности. Когда бы событие определенного рода ни произошло в системе, информация о нем (в том числе кто инициировал его, когда и в какое время оно произошло и если при этом были затронуты файлы, то какие) регистрируется в данных файлах. Т.е. по существу в них протоколирует-ся техническая информация, данные о техническом обмене. В силу этого их порой упоми-нают как «регистрационный журнал»

Принципиально существует две основных категории «исторических данных»: дан-ные о пользователе и сведения о сообщении.

Данные о пользователе могут включать: имя, адрес, дату рождения, номер телефо-на, адрес поставщика услуг в Internet, адрес электронной почты, идентификационные при-знаки какого-либо номера или счета, используемых для осуществления платежных опера-ций по расчетам за услуги провайдера, справочные данные, идентификационные данные юридического лица, перечень предоставляемых услуг или услуг, на которые подписался клиент, статический и динамический IP-адрес3, дополнительный адрес электронной почты и т.д.

Сведения о сообщении могут включать: первоначальный номер телефона, исполь-зуемый для связи с log-файлом регистрации, дату сеанса связи, информацию о времени связи (времени начала, окончания и продолжительность сеанса связи), статические или

1 Терминологически «сведения о прохождении информации» в рассматриваемом контексте озна-чают информацию, генерированную ЭВМ, записанную при помощи сетевого оборудования и ка-сающуюся определенного сообщения или нескольких сообщений. Они включают в себя название источника сообщения, его назначение, маршрут, время, дату, продолжительность, характер дея-тельности при сообщении (не включая его содержания) и место назначение (получателя). В слу-чае передачи сообщений в Internet почти всегда они будут включать в себя адрес провайдера в Internet, IP-адрес и другое. Если это сообщение электронной почты, то они могут включать также данные заголовка. В сообщении, передаваемом в Internet, обычно указывается его тип (электрон-ная почта, НТМL, Telnet и т.д.). Сведения о прохождении информации не включают содержание сообщения. В специальной литературе и документах именуются как «исторические данные», «данные о потоках» либо «данные о потоках информации». В англоязычной литературе опреде-ляется термином «traffic data». В российском законодательстве – «сведения о сообщениях, пере-даваемых по сетям электрической связи (электросвязи)». Все они синонимы и именно таким об-разом употребляются в настоящей работе.

2 См.: Федеральный закон от 16.02.95 № 15-ФЗ «О связи» // Собрание законодательства Россий-ской Федерации. – 1995. - № 8. – Ст. 600. С изменениями и дополнениями, внесенными Феде-ральными законами от 06.01.99 № 8-ФЗ и 17.07.99 № 176-ФЗ. – Собрание законодательства Рос-сийской Федерации: – 1999. - № 2. – Ст. 235 и 1999. - № 29. – Ст. 3697.

3 IР-адрес - 32-битный адрес каждого компьютера в сети Internet.

24

динамические IP-адресные журналы регистрации провайдера в Internet и соответствую-щие телефонные номера, скорость передачи сообщения, исходящие журналы сеанса связи, включая тип использованных протоколов и т.д.

Из приведенного перечня видно, что их значение для установления истины при расследовании преступлений неодинаково.

Обычно сохранение незначительной доли «исторических данных» осуществляется провайдерами для целей осуществления контроля за поступающими за их услуги плате-жами (биллинг). Однако ныне отсутствуют единые стандарты их накопления и сохране-ния. Зачастую коммерческие службы, доступные в Internet, предусматривают анонимность как услугу. Поскольку многие системы позволяют изменять конфигурацию файлов реги-страции (включать и исключать различные виды регистрируемых событий, задавать толь-ко определенные виды регистрируемых событий, определять устройства, на которых же-лательно их вести) — соответствующие провайдеры могут свободно удалять, в том числе, на международном уровне всю идентификационную информацию из log - файлов, не до-пуская установление личности отправителя1.

Это происходит по той причине, что назначение файлов регистрации не заключает-ся в предупреждении и пресечении преступной деятельности – они просто записывают действия системы. Например, запись в файл регистрации может осуществляться в случа-ях, когда: пользователь входит или пытается войти в систему; открывает файл или пыта-ется открыть один из файлов, для доступа к которым он не имеет соответствующих пол-номочий; пользователь обращается к программе, которая преодолевает средства защиты системы, либо экспортирует данные в устройство, находящееся за пределами конкретной сети и т.д. Форматы и объемы данных в регистрационных файлах зависят от возможно-стей операционной системы и сетевых соединений. Высокозащищенные системы могут включать в них большое количество дополнительной информации, которая регистрирует-ся в соответствие с установками системных администраторов.

Кроме log-файлов, носителями доказательственной информации могут являться и иные «виртуальные следы», остающиеся в компьютерах, используемых для совершения преступных действий либо через которые проходит или поступает информация. Такими носителями, в зависимости от существа действий с информацией, могут являться: табли-цы размещения файлов (FAT, NTFS или другие), системные реестры операционных сис-тем, отдельные кластеры магнитного носителя информации, файлы и каталоги хранения сообщений электронной почты, файлы конфигурации программ удаленного доступа и иное.

В отличие от log-файлов, информация, содержащаяся в этих иных носителях, явля-ется достаточно разрозненной, представлена зачастую не в систематизированном виде, что затрудняет деятельность по ее обнаружению, закреплению, изъятию, сохранению и исследованию.

В силу этого log-файлы (и, соответственно, сохраняемые ими сведения о сообще-

1 В ставшем широко известным в 2001 г. случае международного сотрудничества при пресечении распространения детской порнографии по сети Internet, провайдерам были направлены запросы с целью установления определенных пользователей. Однако многие из них сообщили, что они не сохраняли «исторические данные», что не позволило установить всех подозреваемых лиц.

25

ниях, передаваемых по сетям электросвязи) следует признать наиболее значимыми носи-телями следовой информации о совершении преступлений в компьютерных сетях, а ин-формация, которую содержат log-файлы (файлы регистрации), может оказаться весьма полезной при установлении обстоятельств совершенных компьютерных преступлений, нести в себе следы этих преступлений. Следовательно, для успешного собирания доказа-тельств таких преступлений требуется, как минимум, своевременно обеспечить сохране-ние имеющихся сведений о сообщениях, передаваемых по сетям электрической связи («исторических данных»).

Речь идет о сведениях, которые независимо от органов дознания или предвари-тельного следствия созданы (генерированы) ЭВМ в виде log–файлов и находятся, в силу этого, в распоряжении операторов связи (провайдеров).

С учетом отсутствия на сегодняшний день в действующем законодательстве норм, предписывающих хранение ими таких сведений длительное время, их сохранение должно обеспечиваться и осуществляться процессуальным путем, по возможности – уже на ста-дии доследственной проверки по сигналу или заявлению о совершенном преступлении. Для этого при проведении доследственной проверки производится осмотр места происше-ствия. Его цель – с помощью специалиста установить, зафиксировать и изъять следы со-вершенного преступления, которые в дальнейшем, в процессе расследования уголовного дела, могут быть признаны в качестве вещественных и иных доказательств, а также полу-чить иную информацию, необходимую для возбуждения уголовного дела.

При проведении осмотра места происшествия, связанного с противоправным ис-пользованием компьютерных сетей, необходимо иметь в виду следующее.

Во-первых, учитывая особенности компьютерной информации, необходимо обес-печить ее обязательное документирование в соответствии с установленным ГОСТом.

Во-вторых, осмотр места происшествия, проводимый до возбуждения уголовного дела, является единственным процессуальным действием, не требующим соблюдения предписаний ч. 4 ст. 32 Федерального закона от 16.02.1995 г. № 15- ФЗ «О связи» о том, что «… ознакомление с сообщениями электросвязи, … получение сведений о них, а также иные ограничения тайны связи допускаются только на основании судебного решения»1. Данное исключение обусловлено тем, что, в соответствии со ст. 176 УПК РФ, осмотр мес-та происшествия проводится не для ознакомления и получения сведений либо ограниче-ния тайны связи, а в целях обнаружения следов преступления, выяснения других обстоя-тельств, имеющих значение для уголовного дела. Однако следует признать, что данное терминологическое разграничение не в полной мере является достаточным на практике. В этой связи необходимо внесение соответствующих дополнений в нормы УПК РФ, регла-ментирующие порядок осмотра места происшествия при наличии в нем компьютера.

В-третьих, при осмотре места происшествия, связанного с совершением преступ-лений в компьютерных сетях, учитывая необходимость обнаружения и закрепления спе-цифических следов, приглашение специалиста является обязательным. В данном случае представляется необходимым воспользоваться аналогией с уже устоявшейся уголовно- 1 См.: Собрание законодательства Российской Федерации. – 1995. - № 8. – Ст. 600. С изменениями и дополнениями, внесенными Федеральными законами от 06.01.1999 г. № 8-ФЗ и 17.07.1999 г. № 176-ФЗ. – Собрание законодательства Российской Федерации: – 1999. - № 2. – Ст. 235 и 1999. - № 29. – Ст. 3697.

26

процессуальной нормой о том, что осмотр трупа на месте его обнаружения производится с участием судебно-медицинского эксперта, а при невозможности его участия – врача. По-добно данному правилу участие специалиста при осмотре средств компьютерной техники (аппаратных и программных) должно быть обязательным без каких-либо исключений.

После возбуждения уголовного дела, чтобы получить в свое распоряжение инфор-мацию о преступном использовании компьютерных сетей, следователь должен просле-дить цепочку коммуникаций (сеансов связи) от компьютера, в котором обнаружены следы преступления, до компьютера, на котором физически работало виновное лицо. При этом, большинство таких сеансов связи осуществляется по сети Internet, состоящей из множест-ва локальных и глобальных сетей, принадлежащих различным компаниям и предприяти-ям, связанных между собой различными линиями связи. Internet можно представить себе в виде паутины, сложенной из небольших сетей разной величины, которые активно взаимо-действуют одна с другой, пересылая файлы, сообщения и т.п. В ходе сеанса связи инфор-мация проходит через значительное количество серверов, которые физически могут быть установлены у не меньшего количества провайдеров на значительном географическом пространстве и удалении.

Теоретически, чтобы собрать достаточную совокупность доказательств виновности того или иного лица в преступлении, совершенном с использованием возможностей гло-бальных компьютерных сетей, необходимо у каждого поставщика услуг (провайдера) по-лучить в документированном виде сведения о сообщениях, передаваемых по сетям элек-тросвязи (т.е. фрагменты тех самых log-файлов). Для этого, в зависимости от складываю-щейся следственной ситуации, может быть проведен осмотр, выемка либо обыск. При вы-полнении этих процессуальных действий необходимо обеспечить соблюдение указанных выше требований ч. 4 ст. 32 Федерального закона от 16.02.1995 г. № 15-ФЗ «О связи».

Фактор времени часто имеет решающее значение при расследовании преступле-ний. Применительно к обнаружению следов преступлений, совершенных в сфере компью-терной информации, своевременность установления и фиксации собранных доказательств имеет особое значение.

Это обусловлено тем, что «исторические данные» не только не всегда генерируют-ся ЭВМ в объемах, достаточных в последующем для расследования преступлений, но многие из них в течение короткого времени уничтожаются. Для предотвращения их утра-ты, особенно в условиях, когда из иных источников становится предварительно известно о готовящемся преступлении, особое значение приобретает отслеживание сообщений, пе-редаваемых по сетям электросвязи, в реальном масштабе времени (основываясь на предполагаемых данных) с их фиксацией и установлением лица, осуществляющего неза-конную деятельность, непосредственно во время совершения преступления.

Особенности следов в форме компьютерной информации свидетельствует, что именно отслеживание в реальном масштабе времени сообщений, передаваемых по сетям электросвязи, позволяет в наибольшей степени обеспечить полноту, всесторонность и объективность их обнаружения и закрепления, без чего невозможно установить предмет доказывания по уголовному делу.

Однако на сегодняшний день многие телекоммуникационные технологии объек-тивно не способствуют отслеживанию за перемещением компьютерной информации. Лю-бому лицу довольно просто провести свое сообщение через множество компьютеров в

27

Internet, и лишь на последнем часто будет указан IP-адрес компьютера, с которого связы-вались напрямую, а не IP-адрес первоначального источника. Кроме того, инфраструктура Internet обычно не имеет автоматического механизма идентификации источника. В силу этого, в типичных случаях необходимо самим связываться с персоналом каждого опера-тора связи в транзитной цепочке сообщений для того, чтобы определить источник преды-дущего сообщения. Если с этим персоналом оперативно связаться невозможно, то отсле-живание вынужденно прекращается. Как и в случаях с получением в распоряжение право-охранительных органов «исторических данных», различные государства на внутринацио-нальном уровне используют собственные механизмы для отслеживания и получения в ре-альном масштабе времени сведений о сообщениях, передаваемых по сетям электросвязи.

Эта деятельность осуществляется, как правило, путем оперативно-розыскных ме-роприятий по «захвату и отслеживанию» сообщений электросвязи, под которыми понима-ется применение т.н. «ловушек», позволяющих установить источник криминальной ак-тивности в сетях, а также непосредственно наблюдать и документировать преступные действия1. В ходе такой деятельности перехватываются и выборочно записываются пото-ки информации в компьютерной сети, которые обычно выбираются на основе IP-адреса или, в случаях отслеживания сообщений электронной почты, - по ключевым словам или имени пользователя в сообщениях.

Принципы такой деятельности и применяемые программно-технические средства в различных странах существенно отличаются друг от друга2.

Вместе с тем их объединяет то, что они являются системами по обеспечению функций оперативно-розыскных мероприятий на сетях (службах) электросвязи (СОРМ) и служат для контролируемого компетентными органами перехвата информации техниче-скими средствами, являясь мощным инструментом в противостоянии преступной экс-плуатации компьютерных сетей.

С технической стороны СОРМ включает в себя3: а) комплекс аппаратно-программных средств СОРМ, размещающийся на узле (уз-

лах) сети документальной электросвязи (сокращенно АПС СОРМ СДЭС); б) комплекс аппаратно-программных средств СОРМ, размещающийся на удален-

ном пункте управления (АПС СОРМ ПУ); в) канал (каналы) передачи данных, обеспечивающий(е) связь между АПС СОРМ

СДЭС и АПС СОРМ ПУ. Таким образом, СОРМ состоит из специальных устройств, устанавливаемых у по-

ставщика услуг (провайдера), удаленного пульта управления, размещаемого непосредст- 1 Существо такого «захвата и отслеживания» можно пояснить следующей аналогией. При поступ-лении сообщения о подготавливаемом преступлении, например о вымогательстве взятки, для фиксации момента передачи взятки ее предмет – деньги – особым образом помечают («захват»). Момент передачи взяткополучателю и дальнейшее перемещение предмета взятки фиксируется с использованием аудио- и видеозаписи, а также в результате личного обыска или обыска помеще-ния, в результате которых устанавливается конечное местонахождение предмета взятки, т.е. иными словами осуществляют его «отслеживание».

2 См.: Гриняев С.Н. Интернет под колпаком. Контроль за виртуальным пространством ужесточает-ся / Независимое военное обозрение. - 2001. - № 17 – С. 5.

3 См.: Приказ Госкомсвязи от 27.03.99 № 47 «Об утверждении Общих технических требований к системе технических средств по обеспечению функций оперативно-розыскных мероприятий на сетях (службах) документальной электросвязи» // СвязьИнформ. – 1999. - № 7.

28

венно в распоряжении органа, осуществляющего оперативно-розыскную деятельность, и выделенного канала связи.

При подключении к Internet СОРМ позволяет не только перехватывать сведения о сообщениях, передаваемых по сетям электросвязи, но и совершенно свободно читать и перехватывать абсолютно всю электронную почту и остальную интересующую информа-цию, сканируя ее по разным параметрам (имени получателя, ключевым словам и т.д.).

В Российской Федерации оперативно-розыскные мероприятия, связанные с про-слушиванием телефонных разговоров и снятием информации с каналов связи, проводятся ФСБ или МВД России. Правовым основанием для внедрения СОРМ являются Федераль-ные законы от 03.04.1995 г. № 40-ФЗ «Об органах Федеральной службы безопасности»1, от 16.02.1995 г. № 15-ФЗ «О связи» и от 12.08.1995 г. № 144-ФЗ «Об оперативно-розыскной деятельности»2, а также Указ Президента РФ от 01.09.1995 г. № 891 «Об упо-рядочении организации и проведения оперативно-розыскных мероприятий с использова-нием технических средств»3.

В ч. 4 ст. 15 Федерального закона «Об органах Федеральной службы безопасности» предусмотрено, что «физические и юридические лица в Российской Федерации, предос-тавляющие услуги почтовой связи, электросвязи всех видов, в том числе телекодовой, конфиденциальной, спутниковой связи, обязаны по требованию органов федеральной службы безопасности включать в состав аппаратных средств дополнительное оборудова-ние и программные средства, а также создавать другие условия, необходимые для прове-дения оперативно-технических мероприятий органами ФСБ».

Согласно ст. 14 Федерального закона «О связи» все предприятия связи, независимо от ведомственной принадлежности и форм собственности, должны оказывать содействие органам, осуществляющим оперативно-розыскную деятельность, в проведении оператив-но-розыскных мероприятий на сетях связи.

Федеральным законом «Об оперативно-розыскной деятельности» (ст. 7) проведе-ние оперативно-розыскных мероприятий допускается лишь по одному из следующих ос-нований:

1. Наличие возбужденного уголовного дела. 2. Ставшие известными органам, осуществляющим оперативно-розыскную дея-

тельность, сведения о: 1) признаках подготавливаемого, совершаемого или совершенного противоправно-

го деяния, а также о лицах, его подготавливающих, совершающих или совершивших, если нет достаточных данных для решения вопроса о возбуждении уголовного дела;

2) событиях или действиях, создающих угрозу государственной, военной, эконо-

1 См.: Собрание законодательства Российской Федерации. – 1995. - № 15. – Ст. 1269. С измене-ниями и дополнениями, внесенными Федеральными законами от 30.12.1999 г. № 226-ФЗ и 07.11.2000 г. № 135-ФЗ. – Собрание законодательства Российской Федерации: 1999, № 1, Ст. 9; 2000, № 46, Ст. 4537.

2 См.: Собрание законодательства Российской Федерации. – 1995. - № 33. – Ст. 3349. С измене-ниями и дополнениями, внесенными Федеральными законами от 18.07.1997 г. № 101-ФЗ, от 21.07.1998 г. № 117-ФЗ, от 05.01.1999 г. № 6-ФЗ, от 30.12.1999 г. № 225-ФЗ, от 20.03.2001 г. № 26-ФЗ. - Собрание законодательства Российской Федерации: 1995, № 33, Ст. 3349; 1999, № 2, Ст. 233; 2001, № 13, Ст. 1140.

3 См.: Собрание законодательства Российской Федерации. – 1999. - № 24. – Ст. 2954.

29

мической или экологической безопасности Российской Федерации; 3) лицах, скрывающихся от органов дознания, следствия и суда или уклоняющихся

от уголовного наказания; 4) лицах, без вести пропавших, и об обнаружении неопознанных трупов. 3. Поручения следователя, органа дознания, указания прокурора или определения

суда по уголовным делам, находящимся в их производстве. 4. Запросы других органов, осуществляющих оперативно-розыскную деятельность,

по основаниям, указанным в настоящей статье. 5. Постановление о применении в отношении защищаемых лиц мер безопасности,

осуществляемых уполномоченными на то государственными органами в порядке, преду-смотренном законодательством Российской Федерации.

6. Запросы международных правоохранительных организаций и правоохранитель-ных органов иностранных государств в соответствии с международными договорами Рос-сийской Федерации.

При этом (ст. 8) проведение оперативно-розыскных мероприятий, которые ограни-чивают конституционные права человека и гражданина на тайну переписки, телефонных переговоров, почтовых, телеграфных и иных сообщений, передаваемых по сетям электри-ческой и почтовой связи, а также право на неприкосновенность жилища, допускается на основании судебного решения и при наличии информации:

- о признаках подготавливаемого, совершаемого или совершенного противоправ-ного деяния, по которому производство предварительного следствия обязательно;

- о лицах, подготавливающих, совершающих или совершивших противоправное деяние, по которому производство предварительного следствия обязательно;

- о событиях или действиях, создающих угрозу государственной, военной эконо-мической или экологической безопасности Российской Федерации.

С учетом отмеченных предписаний, отслеживание сообщений, передаваемых по сетям электросвязи в реальном масштабе времени постепенно выделяется в самостоятель-ное направление деятельности органов, осуществляющих оперативно-розыскную дея-тельность1.

Согласно ч. 4 ст. 6 Федерального закона «Об оперативно-розыскной деятельности» оперативно-розыскные мероприятия, связанные с контролем почтовых отправлений, теле-графных и иных сообщений, прослушиванием телефонных переговоров с подключением к станционной аппаратуре предприятий, учреждений и организаций независимо от форм собственности, физических и юридических лиц, предоставляющих услуги и средства свя-зи, со снятием информации с технических каналов связи, проводятся с использованием оперативно-технических сил и средств органов федеральной службы безопасности, орга-нов внутренних дел и, в пределах своих полномочий, федеральных органов налоговой по-лиции в порядке, определяемом межведомственными нормативными актами или соглаше-ниями между органами, осуществляющими оперативно-розыскную деятельность.

В силу этого нормативное регулирование упомянутых в этом законе контроля поч-товых отправлений, телеграфных и иных сообщений и снятие информации с технических 1 См.: Макаренков Д.Е., Наумов И.А. Получение информации из компьютерных систем в опера-тивно-розыскной деятельности правоохранительных органов // Тез. докл. междунар. конф. «Ин-формация правоохранительных систем», июнь 1999 г. – М., 1999.

30

каналов связи осуществляется системой подзаконных актов. Основополагающим в их числе является Соглашение между Министерством связи

Российской Федерации и Федеральной службой безопасности Российской Федерации по вопросу внедрения технических средств системы оперативно-розыскных мероприятий на сетях электросвязи России (утверждено ФСБ России 20.01.1997 г. и Минсвязи России 22.01.1997 г.)1.

Кроме того, целый ряд предписаний по рассматриваемому вопросу содержится в документах, которые не определены упомянутыми нормами Федерального закона «Об оперативно-розыскной деятельности» в качестве нормативно–правовых для регулирова-ния правоотношений в сфере ОРД:

- в Указе Президента Российской Федерации от 09.01.1996 г. № 21 «О мерах по упорядочению разработки, производства, реализации, приобретения в целях передачи, ввоза в Российскую Федерацию и вывоза за ее пределы, а также использования специаль-ных технических средств, предназначенных для негласного получения информации» (с изменениями от 30.12.2000 г.)2;

- в постановлении Правительства Российской Федерации от 01.07.1996 г. № 770 «Об утверждении Положения о лицензировании деятельности физических и юридических лиц, не уполномоченных на осуществление оперативно-розыскной деятельности, связан-ной с разработкой, производством, реализацией, приобретением в целях продажи, ввоза в Российскую Федерацию и вывоза за ее пределы специальных технических средств, пред-назначенных (разработанных, приспособленных, запрограммированных) для негласного получения информации в процессе осуществления оперативно-розыскной деятельности»3.

Отдельные вопросы в этой сфере регулируются организацион-но-распорядительными документами Министерства связи Российской Федерации. К ним относятся:

- приказ от 24.06.1992 г. № 226 «Об использовании средств связи для обеспечения оперативно-розыскных мероприятий Министерства безопасности Российской Федера-ции»4;

- приказ от 30.12.1996 г. № 145 «О порядке проведения сертификационных испы-таний технических средств СОРМ»;

- приказ Госкомсвязи России от 20.04.1999 г. № 70 «О технических требованиях к системе технических средств для обеспечения функций оперативно-розыскных мероприя-тий на сетях электросвязи Российской Федерации»5;

- приказ Минсвязи России от 25.07.2000 г. № 130 «О порядке внедрения системы технических средств по обеспечению оперативно-розыскных мероприятий на сетях теле-фонной, подвижной и беспроводной связи и персонального радиовызова общего пользо-

1 Текст соглашения официально опубликован не был. 2 См.: Собрание законодательства Российской Федерации: 1996, № 3, Ст. 153; 2000, № 1 (часть II), Ст. 71.

3 См.: Собрание законодательства Российской Федерации. – 1996. - № 28. – Ст. 3382. 4 См.: Текст приказа официально опубликован не был. 5 См.: СвязьИнформ. – М., 1999. - № 6. Согласно письму Минюста России от 31.05.1999 г. № 4186-ПК данный приказ не нуждается в государственной регистрации

31

вания»1, с изменениями, внесенными приказом Минсвязи России от 25.10.2000 г. № 185 «О внесении изменения в приказ Минсвязи России от 25.07.2000 г. № 130»2.

Таким образом, учитывая требования действующего российского законодательства и особенности прохождения информации в компьютерных сетях и остающихся при этом следов, в условиях временных ограничений, обусловленных краткостью периода хранения «исторических данных», решение задач по обнаружению, закреплению и изъятию органа-ми, осуществляющими оперативно-розыскную деятельность, дознания, предварительного следствия, прокуратуры следов преступлений в таких сетях может достигаться:

1) путем обеспечения сохранности и изъятия в документированном виде ранее ге-нерированных ЭВМ сведений о сообщениях, передаваемых по сетям электросвязи («исто-рических данных»), в которых содержится информация о том или ином противозаконном деянии в компьютерной сети;

2) путем «захвата и отслеживания» сведений о сообщениях, передаваемых по сетям электросвязи, в реальном масштабе времени.

С технической точки зрения различие между изъятием сохраненных «исторических данных» и «захватом и отслеживанием» сведений о сообщениях, передаваемых по сетям электросвязи (порой употребляется термин «перехват данных, передаваемых с помощью компьютерной системы»), весьма затруднительно. Во многих случаях компьютерная ин-формация может находиться в стадии как хранения, так и передачи либо переходить из одной стадии в другую. В связи с этим в большинстве случаев их различие предопределя-ется процессуальной стороной вопроса3:

1) изъятие в документированном виде «исторических данных» осуществляется в рамках гласного официального процессуального действия, о производстве которого в ус-тановленном законом порядке информируются его участники, а

2) «захват и отслеживание» на стадии передачи данных представляет собой неглас-ную операцию, целью которой является получение компьютерной информации (сведений о сообщениях электросвязи или самих сообщений), отсутствовавших в момент ее начала. Заинтересованным сторонам в большинстве случаев, неизвестно о «захвате и отслежива-нии», а информироваться об этом они могут спустя определенное время либо вообще не информироваться.

1 См.: Бюллетень нормативных актов федеральных органов исполнительной власти. - 2000. - № 34. Зарегистрирован в Минюсте России 9.08.2000 г., регистрационный № 2339.

2 См.: Бюллетень нормативных актов федеральных органов исполнительной власти. - 2000. - № 49. Зарегистрирован в Минюсте России 21.11.2000 г., регистрационный № 2460.

3 Следует отметить, что с процессуальной точки зрения такое разделение применительно к компь-ютерной информации является достаточно условным. Ярким примером этого служит электрон-ная почта, поскольку при ее использовании комбинируются как передача данных, так и их сохра-нение. В момент отправления сообщения с конкретного персонального компьютера оно переда-ется провайдером отправителя поставщику услуг получателя. Адресат имеет доступ к сообще-нию и самостоятельно определяет продолжительность его сохранения в электронном почтовом ящике на сервере своего провайдера. В силу этого хранящиеся в электронном почтовом ящике сообщения находятся под контролем как адресата, так и оператора связи, а правоохранительные органы могут получить к ним доступ как в ходе выемки (обыска) компьютерной информации у ее получателя с предварительным вынесением постановления об этом в рамках УПК РСФСР, так и в ходе ОРМ, связанных с их «отслеживанием и захватом». Разграничение в подобных случаях, как представляется, должно осуществляться именно по органам и процессуальной форме приня-тия решения, а также по способам получения такой информации.

32

В Российской Федерации первый из названных способов может быть реализован до возбуждения уголовного дела в режиме осмотра места происшествия, после его возбуж-дения – осмотра, выемки или обыска компьютерной системы (компьютера), расположен-ной в определенном месте. Второй – путем оперативно-розыскных мероприятий, преду-смотренных п. 9 (контроль почтовых отправлений, телеграфных и иных сообщений) и п. 11 (снятие информации с технических каналов связи) ч. 2 ст. 6 Федерального закона «Об оперативно-розыскной деятельности», как до возбуждения уголовного дела, так и при на-личии такового, с соблюдением условий, предусмотренных названным законом.